eNSP - VLAN

Ağ yönetimi, yönlendirme, anahtarlama ve güvenlik ile ilgili kavramlar ve uygulamalar
Cevapla
Kullanıcı avatarı
melihcelenk
Site Admin
Mesajlar: 212
Kayıt: 05 Eki 2021, 03:23

eNSP - VLAN

Mesaj gönderen melihcelenk »

Bir ağda bulunan bütün cihazlar birbirlerinin mac adreslerini öğrenmek için broadcast yaparlar. Ağ büyüdükçe bu trafik artar ve hız azalır. Bunu önlemenin yolu alt ağlara bölmektir. Böylece her bilgisayar sadece kendi vlan'indeki cihazlara broadcast yapacaktır ve bütün ağ yavaşlamayacaktır.

Her VLAN bir alt ağdır. Bu aynı zamanda güvenliği sağlar. Örneğin satış departmanındaki bir bilgisayar üretim ve ar-ge departmanının ağına erişemez. Ancak her üç katta da satış departmanına ait bölümler olduğunu ve yukarı katlarda yöneticilerin bulunduğunu düşünürsek satış departmanına ait 1. kattaki bir bilgisayar 3. kattaki bir bilgisayarla haberleşebilir. Veya Kat 1 ile Kat 2'deki insan kaynakları departmanına ait bilgisayarlar haberleşebilirken yöneticilerin bulunduğu 3. kattaki VLAN 30'a ait bilgisayarlara erişimi kısıtlayabiliriz.

Bir yerel alan ağı üzerindeki paketlerin çoğu VLAN etiketlerine sahiptir. Ancak ATM, FR ve PPP gibi bazı WAN protokolleri VLAN paketlerini tanımlayamaz.Bu nedenle WAN'a bir VLAN paketi gönderileceğinde VLAN bilgileri paketlenir, VLAN etiketi kaldırılır ve paket iletilir. Bu uygulamada WAN'a çıkmayan bir VLAN tanımlaması yapılacaktır.

topoloji.PNG
topoloji.PNG (342.69 KiB) 418 kere görüntülendi

VLAN atamanın değişik yöntemleri vardır. Bu uygulamada oluşturduğumuz VLAN'leri portlara atayacağız.

Uygulamamızda 3 katlı bir bina var. Her katta Satış, Üretim ve Ar-Ge, İnsan Kaynakları olmak üzere üç departman var. Her departman için birer VLAN tanımlıyoruz. Bunlar

VLAN 10 ağı 10.0.10.0/24 (SATIŞ)
VLAN 20 ağı 10.0.20.0/24 (ÜRETİM VE AR-GE)
VLAN 30 ağı 10.0.30.0/24 (İNSAN KAYNAKLARI)

şeklinde olacak.


Port Bazlı VLAN atama

PC1 için:
IP adresi: 10.0.10.1
Subnet maskesi: 255.255.255.0
Gateway: 10.0.10.254
Diğer bilgisayarlara da
IP adresi 10.0.[Bulunduğu VLAN].[PCNumarası]
Subnet maskesi: 255.255.255.0
Gateway: 10.0.[Bulunduğu VLAN].254
şeklinde atamaları yapıyoruz.

Çok fazla cihaz olduğundan anlaşılır olması amacıyla her bilgisayara kendi numarası ve VLAN'ine göre IP verdik.

Cihazları Start butonuyla çalıştıralım ve konfigürasyona başlayalım.


* * * * *

R1 - Yönlendirici Konfigürasyonu
Yönlendiricimizin (R1) GE 0/0/0 portuna üç IP atayacağız. Her bilgisayar kendi VLAN'ine ait varsayılan ağ geçidi üzerinden iletişim kuracak.

10 Vlan'i için 10.0.10.254 (GE 0/0/0.10)
20 Vlan'i için 10.0.20.254 (GE/0/0/0.20)
30 Vlan'i için 10.0.30.254 (GE/0/0/0.30)

IP adresleri yönlendiricimizin ara yüzlerine tanımlanacak.

VLAN paketleri Dot1q paketleri ve QinQ paketleri olarak sınıflandırılabilir. Farkları Dot1q paketinin tek, QinQ paketinin çift katmanlı VLAN etiketi taşımasıdır. Bu uygulamada Dot1q kullanacağız. Dot1q ismi IEEE'nin 802.1q protokolünden gelmektedir.

Şimdi R1 terminalini çift tıklayarak açalım ve
interface g0/0/0.10
komutuyla GE 0/0/0.10 ara yüzüne girelim. Bu aynı zamanda .10 ara yüzünü aktif edecektir.

Hatalı bir giriş (örneğin .40 yazıldı) yapıldığında geri almak için q ile geri dönüp
[R1]undo interface g0/0/0.40
komutu kullanılabilir.
dot1q termination vid 10
komutunu yazalım. Bu komutla birlikte VLAN paketindeki etiket kaldırılarak 3. katmana iletilir. VLAN etiketi 10 olan paketlerin geçmesine izin verilir.
ip address 10.0.10.254 24
komutuyla bu ara yüze IP atayalım. 10 VLAN'ine ait bilgisayarlar bu IP üzerinden haberleşecek.
arp broadcast enable
komutuyla VLAN etiketi alt arabirimlerinde ARP yayınını etkinleştirelim. Bunu yapmadığımız takdirde VLAN etiketi sonlandırma alt arabirimleri paketleri aldıktan sonra yayın paketini atar. Yayın paketlerinin geçişine izin vermek için bu komutu kullanırız.

Aynı komutları diğer ara yüzler üzerinde diğer VLAN'ler için kullanalım:
int g0/0/0.20
dot1q termination vid 20
ip add 10.0.20.254 24
arp broadcast enable
int g0/0/0.30
dot1q termination vid 30
ip add 10.0.30.254 24
arp broadcast enable
display interface brief
komutuyla oluşturduğumuz arabirimleri görebiliriz.

R1.PNG
R1.PNG (23.51 KiB) 418 kere görüntülendi
display current-configuration interface
komutu ile yaptıklarımızı kontrol edebiliriz. Aynı komutun sonuna ara yüzü
display current-configuration interface g0/0/0.10
şeklinde eklersek sadece ona ait konfigürasyonu görürüz.

Ayrıca
display arp
komutunu çalıştırırsak da eklediğimiz arabirimlerin arp tablosunda yer aldığını görürüz.

* * * * *


LSW1 - Kat 1'deki Switch Konfigürasyonu

LSW1'in terminaline girelim. Sistem moduna geçelim.
vlan 10
komutuyla 10 etiketli bir vlan tanımlayalım.
description SATIS
ile vlan'imize açıklama yazalım. q ile geri dönelim.
vlan 20
komutuyla 20 etiketli bir vlan tanımlayalım.
description URETIM-ARGE
ile vlan'imize açıklama yazalım. q ile geri dönelim.
vlan 30
komutuyla 30 etiketli bir vlan tanımlayalım.
description INSANKAYNAKLARI
ile vlan'imize açıklama yazalım. q ile geri dönelim.

kat1_1.PNG
kat1_1.PNG (64.09 KiB) 418 kere görüntülendi

Şimdi her bir port için bir vlan tanımlayacağız. GE 0/0/1 portumuzda PC1, GE 0/0/2 portumuzda PC2 ve diğer portlarda da anlatım kolaylığı açısından bilgisayarlar kendi numaralarını taşıyan portlar üzerinden bağlı.
interface g0/0/1
ile GE 0/0/1 ara yüzüne girelim.

Portlarda Access, Hybrid ve Trunk olmak üzere üç tane bağlantı tipi var.

access: Bir porta bir kullanıcı cihazı bağlanır. Ethernet çerçeveleri etiketlenmez. Arabirim, paketlere bir VLAN etiketi ekler. Access link, etiketlenmemiş bir paket aldığında kabul eder ve default VLAN ID ile etiketler. Etiketlenmiş bir paket aldığında ise VLAN ID'si varsayılan VLAN ID ile aynıysa paketi kabul eder ve iletir. Paketin VLAN ID'si varsayılan VLAN ID'den farklı ise paketi bırakır. Ayrıca göndereceği paketin VLAN etiketini siler.

trunk: Trunk ara yüzü, birden çok VLAN'den gelen çerçevelerin geçmesine izin verir. Pratikte switchler veya yönlendiricilere VLAN'lerin taşınmasını sağlar. Trunk olmasaydı her bir VLAN için farklı kablo bağlamamız gerekirdi. Eth-trunk birden fazla fiziksel bağlantının bir yol üzerinden geçmesini sağlıyordu, VLAN Trunk ise birden fazla mantıksal ağın bir yol üzerinden geçmesini sağlıyor.

hybrid: Bir kullanıcı cihazına veya switch'e bağlanabilen karma bir bağlantıdır. Birden çok VLAN'den gelen çerçevelerin geçmesine izin verir ve giden çerçevelerin etiketlerini kaldırabilir.

Biz bu uygulamada switch'in bilgisayarlara bağlı olan portları için
port link-type access
komutuyla access'i seçiyoruz.

Bu konfigürasyonu geri almak için
undo port link-type
komutunu kullanabiliriz.
port default vlan 10
ile porta ait varsayılan vlan'i tanımlıyoruz.
display this
komutuyla yaptığımız konfigürasyonu görelim.

kat1_2_displaythis.PNG
kat1_2_displaythis.PNG (5.11 KiB) 418 kere görüntülendi
Aynı komutları diğer portlar için de yapalım.
int g0/0/2
port link-type access
port default vlan 10
int g0/0/3
port link-type access
port default vlan 20
int g0/0/4
port link-type access
port default vlan 20
int g0/0/5
port link-type access
port default vlan 30
int g0/0/6
port link-type access
port default vlan 30
Uygulamada her vlan için az sayıda bilgisayar olduğu için bu şekilde yaptık. Eğer çok sayıda bilgisayar olsaydı bunları gruplayıp tek seferde konfigüre edebilirdik. 20 vlan'i için aşağıdaki gibi gruplama yapabiliriz ve her birinin ara yüzüne girmek yerine grup ara yüzüne girip yukarıdaki komutları yazabiliriz. "to" ifadesi aralığı belirtmek için kullanılır. Aşağıda g0/0/4 yerine g0/0/12 yazarsak 3'ten 12'ye kadar bütün portları gruplayarak girdiğiniz komutları her biri için uygulayacaktır.
<HUAWEI> system-view
[HUAWEI] port-group kat1-20
[HUAWEI-port-group-kat1-20] group-member g0/0/3 to g0/0/4
Bunu yaptıktan sonra display this komutuyla kontrol edebilirsiniz ve başka bir zaman tekrar port-group kat1-20 komutuyla bu ara yüze erişebilirsiniz.

kat1_grup_displaythis.PNG
kat1_grup_displaythis.PNG (5.36 KiB) 418 kere görüntülendi

Artık vlan'lerimizi oluşturduk ve 1. kattaki her bilgisayar kendi vlan'i içinde haberleşebilir. Ancak henüz 2. ve 3. kattaki kendi departmanlarındaki bilgisayarlarla haberleşemez.

2. katla iletişimi sağlamak için orada bulunan LSW2 switch'inde de vlan tanımlayıp VLAN geçişine izin vermemiz gerekmektedir.
2. switch'te vlan tanımlamadan önce 1. switch'te vlan geçişine izin vererek buradaki işlemlerimizi tamamlayalım.
int g0/0/23
ile LSW2'ye giden portun ara yüzüne girelim.

Bu kez karşı tarafta bir switch olduğu için
port link-type trunk
komutuyla bağlantı tipimizi trunk olarak seçelim.
port trunk allow-pass vlan 10 20 30
ile oluşturduğumuz 10, 20 ve 30 vlan'lerinin GE 0/0/23 portuna geçişine izin verelim.

Bütün vlan'lere izin vermek için
port trunk allow-pass vlan all
komutunu da kullanabiliriz. Bu kez 2 ile 4094 arasındaki bütün vlan'lerin geçişine izin vermiş oluruz.

Aynı işlemleri yönlendiriciye giden port, yani GE 0/0/24 için de yapalım.
int g0/0/24
port link-type trunk
port trunk allow-pass vlan 10 20 30
Şimdi
display vlan
komutu ile oluşturduğumuz vlan'leri inceleyelim.

Yanlış bir vlan tanımlaması yaptıysak
undo vlan 11
ile 11 vlan'ini
undo vlan batch 10 to 20
ile 10'dan 20'ye bütün vlan'leri
undo vlan batch 2 to 4094
ile bütün vlan'leri kaldırabiliriz.
kat1_son_displayvlan.PNG
kat1_son_displayvlan.PNG (35.01 KiB) 418 kere görüntülendi

1 vlan'i varsayılan olarak atanır. Vlan'e eklemediğimiz her portu burada görmekteyiz. Kapalı durumda olduğundan D(Down) olarak görünmektedir.

10 vlan'ine baktığımızda GE0/0/1 ve GE0/0/2 portlarının UT (UNTAG) olarak işaretlendiğini ve U(UP) yani aktif olduğunu görüyoruz.
GE0/0/23 portu TG (TAG) olarak işaretlenmiş ve U(UP) aktif durumda.

20 vlan'ine baktığımızda GE0/0/3 ve GE0/0/4 portlarının UT (UNTAG) olarak işaretlendiğini ve U(UP) yani aktif olduğunu görüyoruz.
GE0/0/23 portu TG (TAG) olarak işaretlenmiş ve U(UP) aktif durumda.

20 vlan'ine baktığımızda GE0/0/5 ve GE0/0/6 portlarının UT (UNTAG) olarak işaretlendiğini ve U(UP) yani aktif olduğunu görüyoruz.
GE0/0/23 portu TG (TAG) olarak işaretlenmiş ve U(UP) aktif durumda.

Ayrıca terminalde aşağı satırlarda VLAN'lere verdiğimiz isimleri de görebiliriz. Varsayılan olarak atanan vlan 1 için otomatik olarak VLAN 0001 ismi verilmiş.


LSW2 - Kat 2'deki Switch Konfigürasyonu

Aynı komutları bağlı portları göz önüne alarak LSW2 için de yazıyoruz.

Önce vlan'leri tanımlıyoruz.

kat2_1_VLANTanımlama.PNG
kat2_1_VLANTanımlama.PNG (54.96 KiB) 418 kere görüntülendi

Ardından her bir porta vlan atıyoruz.

kat2_2_PortlaraVLANAtama.PNG
kat2_2_PortlaraVLANAtama.PNG (105.05 KiB) 418 kere görüntülendi

Son olarak vlan'lerimizi display vlan komutu ile kontrol ediyor ve switch'ler arası vlan aktarımı için trunk yapıyoruz. Bu kez vlan 10 20 komutunu kullanalım ve 30'u dahil etmediğimizde ne olacağını görelim.

kat2_3_display ve trunk 10 20.PNG
kat2_3_display ve trunk 10 20.PNG (33.16 KiB) 418 kere görüntülendi


PC5'ten PC11'e ping atalım.

pc5-pc11_ping1.PNG
pc5-pc11_ping1.PNG (17.31 KiB) 418 kere görüntülendi

Görüldüğü gibi switch'ten vlan 30 için geçişe izin vermediğimiz için haberleşme sağlanamadı.

Ardından yönlendiricimizin terminaline tekrar dönüp GE 0/0/23 portu için
port trunk allow-pass vlan 10 20 30
komutunu yazalım.

Kat 3'e giden GE 0/0/24 portuna da vlan'ler için geçiş izni vermeyi unutmayalım.

lsw2-24portutrunk.PNG
lsw2-24portutrunk.PNG (24.42 KiB) 412 kere görüntülendi

Bu kez tekrar PC5'ten PC11'e ping atalım.

pc5-pc11_ping2.PNG
pc5-pc11_ping2.PNG (22.88 KiB) 418 kere görüntülendi

Aynı vlan'deki bilgisayarların farklı katlarda farklı switch'lere bağlı olmasına rağmen haberleşebildiğini gördüğümüze göre konfigürasyonun başarılı yapıldığını anlamış olduk. 3. katın konfigürasyonu da aynı şekilde ilgili portlar göz önüne alınarak aynı şekilde yapıldığında bütün katlardaki bilgisayarlar kendi vlan'lerinde haberleşebilir duruma gelecektir.

Topolojiyi aşağıdan indirip inceleyebilirsiniz. Ya da kendiniz kurup içinde bulunan cihazlara ait konfigürasyon dosyalarını (.cfg) switch'lere ve yönlendiriciye sağ tıklayarak Import Config butonuyla içeri aktarabilirsiniz.
VLAN-eNSP.rar
(14.89 KiB) 91 kere indirildi
KAYNAKLAR:
https://support.huawei.com/enterprise/e ... in-a-batch
https://support.huawei.com/enterprise/e ... nation-vid
https://support.huawei.com/enterprise/e ... n-commands
https://support.huawei.com/enterprise/e ... -link-type
https://support.huawei.com/enterprise/e ... C250450822
Cevapla